【正文】 已查看是否滿足組織持續(xù)運(yùn)營(yíng)需要時(shí)等。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析示意圖如下圖所示：圖風(fēng)險(xiǎn)評(píng)估分析中主要涉及資產(chǎn)、威脅、脆弱性等基本要素。一般來(lái)說(shuō)，威脅總是要利用組織中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。評(píng)估過(guò)程中的風(fēng)險(xiǎn)控制在評(píng)估過(guò)程中，不可避免地會(huì)對(duì)平復(fù)對(duì)象造成影響，相應(yīng)地可能會(huì)造成各種損失。b）綜合風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)是一種潛在可能性，是指某分威脅利用脆弱性引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起組織或機(jī)構(gòu)的損害。此階段的工作就是通過(guò)考察組織信息資產(chǎn)的三種不同的安全屬性，從而更好地反映信息資產(chǎn)的價(jià)值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性，并進(jìn)行量化。風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)估服務(wù)的目的及其意義信息安全風(fēng)險(xiǎn)是指人為或自然的威脅利用信息系統(tǒng)及其團(tuán)里體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。風(fēng)險(xiǎn)評(píng)估服務(wù)的收益l 風(fēng)險(xiǎn)評(píng)估可以幫助客戶：l 準(zhǔn)確了解租住的信息安全現(xiàn)狀；l 明晰組織的信息安全需求；l 制定組織信息系統(tǒng)的安全策略和風(fēng)險(xiǎn)解決方案；l 指導(dǎo)組織未來(lái)的信息安全建設(shè)和投入；l 建立組織自身的信息安全管理框架。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。c）脆弱性識(shí)別脆弱性和信息資產(chǎn)緊密相連，它可能被威脅利用/引起資產(chǎn)損失或傷害。這些影響包括信息泄露、業(yè)務(wù)停頓或處理能力受損等。（3）風(fēng)險(xiǎn)分析階段a）殘余風(fēng)險(xiǎn)分析殘余風(fēng)險(xiǎn)分析將根據(jù)在識(shí)別階段對(duì)資產(chǎn)、脆弱性、威脅識(shí)別的結(jié)果，結(jié)合現(xiàn)有安全控制措施分析的結(jié)果，確定信息系統(tǒng)的殘余風(fēng)險(xiǎn)；然后結(jié)合殘余風(fēng)險(xiǎn)對(duì)業(yè)務(wù)影響性的分析，確定殘余風(fēng)險(xiǎn)的處置計(jì)劃并給出合理的風(fēng)險(xiǎn)處置建議。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。風(fēng)險(xiǎn)評(píng)估對(duì)象及內(nèi)容本公司風(fēng)險(xiǎn)評(píng)估服務(wù)主要包括以下內(nèi)容：（1） 物理環(huán)境安全性評(píng)估（2） 網(wǎng)絡(luò)架構(gòu)安全性評(píng)估（3） 主機(jī)系統(tǒng)設(shè)備安全性評(píng)估l 服務(wù)器系統(tǒng)l 桌面主機(jī)l 網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）（4） 應(yīng)用系統(tǒng)安全性評(píng)估l 通用應(yīng)用服務(wù)（WEB、FTP、Mail、DNS等）l 專用業(yè)務(wù)系統(tǒng)（B/S、C/S）l 數(shù)據(jù)庫(kù)（5） 機(jī)密數(shù)據(jù)安全控制保障評(píng)估（機(jī)密信息的生成、傳遞、存儲(chǔ)等過(guò)程）（6） 信息安全管理組織架構(gòu)和理性評(píng)估（7） 信息安全管理制度及安全性評(píng)估（8） 人員安全管理狀況評(píng)估（9） 安全產(chǎn)品和技術(shù)應(yīng)用狀況有效性及合理性評(píng)（10） 對(duì)應(yīng)重大緊急安全事件的處理能力評(píng)估（11） ……風(fēng)險(xiǎn)評(píng)估方法為了確切、真實(shí)地反映信息系統(tǒng)現(xiàn)狀，本公司在風(fēng)險(xiǎn)評(píng)估過(guò)程中使用到的方法有顧問(wèn)訪談、工具掃描、專家經(jīng)驗(yàn)分析、實(shí)地勘察、滲透測(cè)試、策略審查六種，如下圖所示：圖 風(fēng)險(xiǎn)評(píng)估方法成果輸出l 《風(fēng)險(xiǎn)評(píng)估安全現(xiàn)狀綜合分析報(bào)告》l 《風(fēng)險(xiǎn)評(píng)估安全解決方案》四、風(fēng)險(xiǎn)評(píng)估服務(wù)框架及流程風(fēng)險(xiǎn)要素關(guān)系信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對(duì)信息資產(chǎn)進(jìn)行保護(hù)，通過(guò)分析信息資產(chǎn)的脆弱性來(lái)確定威脅可能利用那些弱點(diǎn)來(lái)破壞其安全性。信息安全風(fēng)險(xiǎn)評(píng)估是信